米Synopsysがオープンソースのセキュリティレポートを公表、商用ソフトウェアでの古いオープンソースソフトウェア利用に対し懸念
米Synopsysは5月12日、オープンソース技術のセキュリティに関する年次報告書「2020 Open Source Security and Risk Analysis」を発表した。オープンソース技術の利用が増える一方で、古いオープンソースソフトウェアが更新されずに使われていることについて警笛を鳴らしている。
Open Source Security and Risk Analysisは、SynopsysのCybersecurity Research Center(CyRC)が、オープンソースの利用、セキュリティ、ライセンス遵守について1253のアプリケーションで使われているソースコードとライブラリを分析してまとめたもの。アプリケーションは実際に商用利用されており、データは匿名化されているという。
調査によると、監査したコードベースの99%に何らかのオープンソースが含まれていた。オープンソースは全体の70%を占めるが、75%のコードベースにオープンソースの脆弱性が含まれており、そのうち49%は高リスクと位置付けられる脆弱性だったという。
また、91%のコードベースに4年以上経過したコンポーネント、あるいは過去2年間開発が行われていないコンポーネントが含まれていたという。「オープンソースでは、時間の経過とともにアップデートを行う開発者の数が減る」とし、古いオープンソース技術のリスクに対応するポリシーを導入することを推奨している。
ライセンスについては、33%にライセンスのないソフトウェアが含まれており、67%がライセンスのコンフリクト(衝突)があると報告している。
Synopsysはソフトウェアの部品表(BOM)を作り、オープンソースコンポーネントを含めて使用中のバージョン、ダウンロードした場所、依存性やライブラリなどを管理することを推奨している。
米Synopsis
https://www.synopsys.com/